第16章 カスタム SSL 証明書の更新
この章では、Satellite Server および Capsule Server でカスタム SSL 証明書を更新する方法について説明します。
16.1. Satellite Server でのカスタム SSL 証明書の更新
この手順を使用して、Satellite Server のカスタム SSL 証明書を更新します。
前提条件
-
新しい証明書署名要求 (CSR) を作成し、それを認証局に送信して証明書に署名する必要があります。サーバー証明書には、必要な値を含む X.509 v3
Key UsageおよびExtended Key Usage拡張が必要です。そのため、新しい CSR を作成する前に、カスタムの SSL 証明書を使用した Satellite Server の設定 ガイドを参照してください。送信すると、Satellite Server 証明書と CA バンドルが返却されます。
手順
更新されたカスタム証明書を Satellite Server にデプロイする前に、カスタムの SSL 入力ファイルを検証します。
katello-certs-checkコマンドが正しく実行されるには、証明書のコモンネーム (CN) が Satellite Server の FQDN と一致する必要があることに注意してください。# katello-certs-check -t satellite \ -b /root/satellite_cert/ca_cert_bundle.pem \ -c /root/satellite_cert/satellite_cert.pem \ -k /root/satellite_cert/satellite_cert_key.pem
コマンドが正常に実行されると、以下の
satellite-installerコマンドが返されます。このコマンドを使用して、更新された CA 証明書を Satellite Server にデプロイできます。# satellite-installer --scenario satellite \ --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \ --certs-server-key "/root/satellite_cert/satellite_key.pem" \ --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \ --certs-update-server \ --certs-update-server-ca
重要
証明書のデプロイ後に証明書ファイルを削除しないでください。これらは Satellite Server のアップグレード時に必要です。
注記
別の証明書署名局により、新しいコンシューマーパッケージ katello-ca-consumer-latest.noarch.rpm が生成される場合は、Satellite Server に登録されたすべてのクライアントを更新する必要があります。
検証
- ローカルマシンから Satellite Web UI にアクセスします。たとえば、https://satellite.example.com からアクセスします。
- ブラウザーで、証明書の詳細を表示して、デプロイした証明書を確認します。
